Que va changer l'open data pour les marchés publics ?

Dans le cadre de la transformation numérique des marchés publics, plusieurs chantiers d'envergure sont en cours. Ainsi, au 1er octobre 2018, État, collectivités locales et organismes publics auront "l'obligation de publier les données essentielles des contrats de marché public supérieurs à 25 000 euros HT et pour chaque contrat de concession". Si la liste des marchés publics conclus l'année précédente était déjà publiée, elle ne l'était pas de façon normée. La publication de ces données sur des supports très divers rendait leur exploitation complexe.

Désormais les acheteurs devront les rendre accessibles "sous un format ouvert et librement réutilisable". Cette normalisation doit servir un objectif précis : faire de l'ouverture des données un levier de développement de nouvelles stratégies d'action, tant pour les acheteurs publics que pour les entreprises ou même les citoyens. En plus de répondre à l'exigence de transparence imposée par le code des marchés publics en facilitant la lutte contre la corruption, l'open data, en donnant une meilleure visibilité aux acheteurs publics, devrait également contribuer à faciliter la gestion des deniers publics ainsi que le pilotage des politiques d'achats. Les acteurs économiques, quant à eux, pourront se saisir facilement des données "pour mieux répondre aux besoins des acheteurs publics, mais aussi pour développer de nouveaux services pour le perfectionnement des politiques de la commande publique", comme le souligne sur son site la DAJ de Bercy.

Les ambitions sont donc grandes et l'open data doit à terme permettre de créer tout un écosystème dynamique et standardisé des données de la commande publique. Sur le principe, l'objectif est louable et les retombées de la démarche toutes bénéfiques. Mais attention à ne pas perdre le contrôle de la donnée ! Car si l'acheteur public doit répondre à un besoin de transparence, il doit aussi garantir le secret industriel et commercial. Comment alors donner un accès facilité aux données essentielles des contrats sans porter atteinte au secret des procédés, des informations économiques et financières et des stratégies commerciales des acteurs économiques ?

L'intérêt de lier les démarches open data et RGPD

Dans l'univers des marchés publics, tout est question de subtilité et d'interprétation des textes de loi. Ici, la subtilité tient en un seul mot : "essentielles". Il s'agit en effet de ne diffuser que les données essentielles des contrats de la commande publique. Plusieurs articles, décrets et arrêtés ont été rédigés afin de fixer un cadre à l'open data. La loi Macron de juillet 2015 définit précisément quelles données transport diffuser, la directive Inspire fixe le cadre de diffusion des données géographiques, l'arrêté du 14 avril 2017 précise la liste des données devant être publiées sur les profils d'acheteurs, la loi pour une République numérique, dite loi Lemaire, de décembre 2016, consacre bien évidemment un large pan à l'open data.

Si la plupart des décrets de cette loi sont déjà en vigueur, certains points restent à préciser, notamment concernant les plateformes et la portabilité des données entre autres. Quant à la loi NOTRe, elle comprend aussi un décret relatif aux modalités de publication et de transmission des données par voie électronique des actes et documents administratifs des collectivités territoriales et EPCI. " Tous ces textes ont bien sûr vocation à clarifier la situation. Cela fait tout de même une masse importante de documents à compiler et l'on peut vite s'y perdre ", prévient David Thoumas, cofondateur d'OpenDataSoft, société spécialisée dans la transformation des données structurées en API.

Pour le moment, donc, la multiplication des contraintes réglementaires aurait plutôt tendance à brouiller les cartes. " D'autant que si l'open data ne concerne normalement pas les informations sensibles ou à caractère personnel, mais uniquement des données anonymisées, le croisement des données et les technologies big data n'écartent pas le risque de réidentification ", estime, pour sa part, maître Stéphane Astier, du cabinet Haas Avocats, spécialisé dans le secteur de l'IT. D'où l'intérêt de lier les réflexions RGPD et open data dans la construction d'une stratégie digitale.

En ouvrant les données, on se heurte rapidement à l'écueil de leur réutilisation. En effet, la réglementation européenne sur la protection des données personnelles (RGPD) donne (sciemment ?) une définition très large d'une donnée personnelle : "Toute information relative à une personne physique qui permet de remonter directement ou indirectement à son identification." " Donc, une adresse IP, par exemple, est une donnée personnelle ", précise maître Stéphane Astier. Même chose pour la notion de traitement de données. " Le traitement est également entendu au sens large puisque cela implique tout ensemble d'opérations automatiques ou non. Une interconnexion entre plusieurs bases est donc considérée comme un traitement de la donnée ", explique l'avocat. Afin d'éviter de s'y perdre ou d'être contraint de revenir en arrière et de procéder a posteriori à des ajustements en menant deux démarches de mise en conformité juridique et technique différenciées, mieux vaut donc mener une réflexion globale dès l'origine.

Qu'implique réellement la démarche ?

Si le passage à l'open data est un chantier d'envergure, pour ne pas dire un Everest, pour nombre de collectivités territoriales, et si depuis deux ans seules 150 collectivités de plus de 3 500 habitants sur 5 000 disposent d'un portail open data, c'est bien parce que l'ouverture des données implique une refonte complète des systèmes d'information. Autant dire une phase très lourde, tant au niveau organisationnel que financier. On se dirige doucement mais sûrement vers une révision totale de l'architecture du SI achats publics. " Les projets évoluent lentement car les collectivités manquent de méthodologie et de moyens pour piloter la donnée. Or, les contraintes liées au RGPD peuvent permettre d'accompagner et de développer des sujets d'open data ", estime Stéphane Astier. La cartographie SI imposée par le RGPD va donner un mapping précis de la donnée et permettre aux organismes publics d'identifier quels jeux de données peuvent être mis à disposition.

Être en mesure d'identifier les sources de données et de les remonter dans les portails acheteurs est le gros travail qui attend les organisations publiques. De là pourront être mises en place des mesures techniques et organisationnelles pour atteindre le niveau de sécurisation approprié. Il s'agira de définir avec tous les prestataires qui est propriétaire de quoi. " Si la démarche en elle-même est vertueuse et va permettre de moderniser l'achat public, ce qui est compliqué à gérer pour les collectivités et les petits établissements publics, c'est le temps et les moyens informatiques. Ce ne sera pas neutre financièrement, un arbitrage différent s'imposera à nous ", juge Céline Debuiche, responsable de la commande publique de Savigny-sur-Orge.

La question de l'habilitation des agents pour la mise en ligne et le téléchargement des offres se pose et impliquera a minima une formation spécifique. L'encadrement juridique devra être très précis. La double démarche open data et RGPD impliquera de mener des études d'impact pour définir le niveau de sensibilité des données, la mise en place d'un référentiel de sécurité avec, par exemple, l'élaboration d'une charte utilisateur pour sensibiliser les agents et les prestataires ; une politique de conservation et d'archivage devra également être formalisée.

L'accompagnement pendant la phase transitoire, voire l'externalisation du contrôle de la conformité des traitements de données, sera potentiellement nécessaire. " Il est important d'avoir dès maintenant une stratégie, un budget et un expert dédié à la gouvernance du SI avec les bons paramètres de sécurité ", conseille maître Stéphane Astier, du cabinet Haas. Qui rappelle également l'obligation pour les organismes publics de nommer au 25 mai 2018 un DPO (data protection officer). " Le CIL (correspondant informatique et libertés) ne pourra assumer cette charge. Le DPO, qui aura en charge la conformité juridique des traitements de données et engagera sa responsabilité, se doit d'être complètement indépendant pour pouvoir peser sur la prise de décision ", explique Stéphane Astier.

La difficulté sera donc de trouver la personne en interne suffisamment indépendante par rapport au comité de direction, mais dotée d'un pouvoir de décision égal à celui-ci. " Le DPO sera un peu le commissaire aux comptes de la donnée et doit être directement rattaché à la direction générale. " Pour l'avocat, la solution la plus simple et la moins coûteuse à mettre en place serait une externalisation du poste de DPO à durée déterminée avec transfert de compétences. " Le CIL reste en place et techniquement compétent. Il devient le référent au DPO, qui assure le pilotage de façon externalisée et ponctuelle après un accompagnement durant la phase transitoire de mise en conformité via un contrat de prestation classique avec passage de témoin ", détaille Stéphane Astier.

Pas étonnant que l'open data soit perçu par beaucoup d'acteurs publics comme un grand bouleversement. Et si ces contraintes au changement peuvent créer de vraies opportunités, notamment en termes de décloisonnement et de mutualisation des DSI publiques avec des bénéfices réels en matière de réactivité, elles méritent encore d'être précisées juridiquement. " Nous aurons par exemple obligation de publication des modifications de contrats. Autrement dit, les avenants seront accessibles aux tiers, sous-entendu aux non-retenus. Or, la nature des modifications à publier n'est pas précisée par décret. Est-ce que l'avis de publication sera demain le point de départ possible de contentieux ? ", s'interroge Arnaud Latrèche, adjoint au directeur de la commande publique et de la valorisation immobilière du département de la Côte-d'Or et vice-président de l'AAP. La transparence porte en effet non plus sur l'attribution des marchés, mais sur ce qui se passe après. " Reste à voir comment tout cela sera exploité par les entreprises, les organisations de contrôle et le tout citoyen ", conclut Arnaud Latrèche.